Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2020-04472

Опубликовано: 12 мая 2020
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Низкий

Описание

Уязвимость функции get_cert_name (gnutls.c) приложения для подключения к виртуальным частным сетям OpenConnect связана с ошибками переполнения буфера. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании или выполнить произвольный код

Вендор

Novell Inc.
Fedora Project
Сообщество свободного программного обеспечения
ООО «РусБИТех-Астра»
АО "НППКТ"

Наименование ПО

OpenSUSE Leap
Fedora
Debian GNU/Linux
OpenConnect
Astra Linux Special Edition
ОСОН ОСнова Оnyx

Версия ПО

15.1 (OpenSUSE Leap)
30 (Fedora)
8 (Debian GNU/Linux)
31 (Fedora)
32 (Fedora)
15.2 (OpenSUSE Leap)
8.09 (OpenConnect)
1.7 (Astra Linux Special Edition)
4.7 (Astra Linux Special Edition)
до 2.5 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Novell Inc. OpenSUSE Leap 15.1
Fedora Project Fedora 30
Сообщество свободного программного обеспечения Debian GNU/Linux 8
Fedora Project Fedora 31
Fedora Project Fedora 32
Novell Inc. OpenSUSE Leap 15.2
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для OpenConnect:
https://gitlab.com/openconnect/openconnect/-/merge_requests/108
Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2020/05/msg00015.html
Для программных продуктов Novell Inc.:
https://lists.opensuse.org/opensuse-security-announce/2020-07/msg00056.html
https://lists.opensuse.org/opensuse-security-announce/2020-07/msg00039.html
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/25MFX4AZE7RDCUWOL4ZOE73YBOPUMQDX/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/AYSXLXAPXD2T73T6JMHI5G2WP7KHAGMN/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/BEVTIH5UFX35CC7MVSYBGRM3D66ACFD5/
Для ОСОН Основа:
Обновление программного обеспечения openconnect до версии 8.10-2
Для ОС Astra Linux Special Edition 1.7:
обновить пакет openconnect до 8.10-2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17
Для Astra Linux Special Edition 4.7:
обновить пакет openconnect до 8.10-2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 83%
0.01863
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2020-12823

CVSS3: 9.8
ubuntu
больше 5 лет назад

OpenConnect 8.09 has a buffer overflow, causing a denial of service (application crash) or possibly unspecified other impact, via crafted certificate data to get_cert_name in gnutls.c.

nvd логотип

CVE-2020-12823

CVSS3: 9.8
nvd
больше 5 лет назад

OpenConnect 8.09 has a buffer overflow, causing a denial of service (application crash) or possibly unspecified other impact, via crafted certificate data to get_cert_name in gnutls.c.

debian логотип

CVE-2020-12823

CVSS3: 9.8
debian
больше 5 лет назад

OpenConnect 8.09 has a buffer overflow, causing a denial of service (a ...

suse-cvrf логотип

openSUSE-SU-2020:1027-1

suse-cvrf
больше 5 лет назад

Security update for openconnect

suse-cvrf логотип

openSUSE-SU-2020:0997-1

suse-cvrf
больше 5 лет назад

Security update for openconnect

EPSS

Процентиль: 83%
0.01863
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2